Microsoft NE sauvegarde PAS vos données : la vérité que votre DSI vous cache. 73 % des PME le croient à tort. Voici ce qui vous attend vraiment en 2026.
Vous payez vos licences Microsoft 365 chaque mois. Vous pensez logiquement que vos emails, vos fichiers OneDrive, vos sites SharePoint et vos conversations Teams sont sauvegardés par Microsoft. C'est faux. Et ce n'est pas une opinion, c'est écrit noir sur blanc dans le contrat que vous avez signé.
Le Microsoft Services Agreement contient une phrase rarement lue : « In the event of an outage, you may not be able to retrieve Your Content or Data... We recommend that you regularly backup Your Content and Data » (traduction : en cas d'interruption, vous pourriez ne pas pouvoir récupérer vos contenus ou données stockés. Nous vous recommandons de sauvegarder régulièrement vos contenus et données via des applications et services tiers).
Traduction directe : Microsoft recommande lui-même à ses clients de payer une solution de sauvegarde externe. Le modèle officiel s'appelle la « responsabilité partagée » (Shared Responsibility Model) et il distingue très clairement deux périmètres : ce qui revient à Microsoft, et ce qui reste à votre charge.
Microsoft assume l'infrastructure physique, la haute disponibilité (SLA 99,9 %), la géo-redondance des datacenters et la sécurité matérielle. Vous restez responsable de la protection des données métier, de la sauvegarde, de la restauration en cas de perte, de la gestion des identités et de la conformité réglementaire. Selon le Veeam Cloud Protection Trends Report 2023, près de 90 % des organisations reconnaissent la nécessité de sauvegarder M365, et autant utilisent déjà des mesures supplémentaires. La moitié restante apprend la responsabilité partagée le jour où elle perd ses données.
La confusion vient d'un détail sémantique : Microsoft fournit des fonctions de récupération (recovery), pas de sauvegarde (backup). Ces deux mots ne signifient pas la même chose en informatique.
Une récupération native vous donne une fenêtre courte pour annuler une suppression accidentelle. Une vraie sauvegarde vous permet de restaurer un état antérieur précis (point-in-time), sur plusieurs mois ou années, depuis un emplacement indépendant, après n'importe quel sinistre, y compris un ransomware qui aurait pris le contrôle du tenant.
Selon IBM Cost of a Data Breach 2024, le délai moyen d'identification d'une compromission de données atteint 194 jours. Les fenêtres natives Microsoft (14 à 93 jours selon le service) sont donc structurellement incapables de couvrir cette réalité opérationnelle.
Les politiques de rétention Microsoft Purview ajoutent une couche de conformité, mais Microsoft Learn est explicite : les politiques de rétention natives soutiennent la disponibilité et la gouvernance, pas la sauvegarde réelle ni la récupération point-in-time. Surtout, les données conservées en Preservation Hold Library ne peuvent pas être réinjectées automatiquement dans Microsoft 365. Il faut les télécharger puis les ré-importer manuellement, ce qui est inenvisageable pour une PME en situation d'urgence.
Voici exactement ce que vous obtenez de Microsoft avec votre abonnement standard, et ce qui reste à votre charge.
| Service Microsoft 365 | Fenêtre de récupération native | Limite critique |
|---|---|---|
| Exchange Online (boîtes mail) | 14 jours dossier Éléments supprimés + 14 jours Éléments récupérables (extensible 30 j) | Aucune restauration point-in-time. Boîte mail entière purgée par un admin = perte définitive après 30 j de désactivation de licence. |
| OneDrive Entreprise | Corbeille (1er + 2nd étage) 93 jours au total ; conservation 30 j après suppression du compte (extensible 10 ans) | Au-delà : effacement définitif. Aucune protection contre un ransomware synchronisé via le client OneDrive. |
| SharePoint Online | Corbeille 1er + 2nd étage : 93 jours au TOTAL (fixe, non modifiable par l'admin) | Pas de restauration granulaire fiable sur les structures de listes, permissions, métadonnées. |
| Teams (chats privés) | SubstrateHolds 21 jours, puis effacement par minuteur (1 à 7 j) | Les messages de canaux ne sont pas restaurables via l'API Graph. |
| Teams (fichiers) | Stockés en SharePoint ou OneDrive selon le contexte | Hérite des limites SharePoint / OneDrive ci-dessus. |
| Calendriers, contacts, tâches | Aucune fenêtre dédiée | Récupération via la corbeille Exchange uniquement. Aucun rollback historique. |
Microsoft assure donc la continuité technique de la plateforme. Microsoft n'assure pas la restauration d'un état métier de votre entreprise à une date donnée. La nuance pèse plusieurs centaines de milliers d'euros le jour où elle se révèle.
Voici les sept situations réelles, documentées chaque semaine par les ESN françaises, dans lesquelles vos données Microsoft 365 disparaissent définitivement malgré votre abonnement.
Le coût d'un incident de ce type pour une PME française varie selon les études : entre 19 000 € (Hiscox 2024) et 59 000 € (étude Asteres/CRIP), pouvant atteindre 466 000 € sur les cas documentés les plus lourds. La British Chambers of Commerce relevait également que 93 % des entreprises ayant subi un arrêt informatique supérieur à 10 jours déposent le bilan dans l'année. La survie de votre PME se joue donc bien avant le sinistre.
La sauvegarde Microsoft 365 n'est plus une question de bonne pratique, c'est devenu une obligation légale implicite pour toute entreprise traitant des données personnelles ou opérant dans un secteur essentiel ou important.
RGPD Article 32(1)(c) impose la capacité à rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique. La CNIL peut sanctionner un manquement aux mesures de sécurité (article 32) jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial, le plus élevé des deux.
NIS2 Article 21, dont la transposition française est intervenue avec la loi REN du 30 avril 2025 après que la France a dépassé la deadline européenne du 17 octobre 2024, exige des mesures techniques explicites incluant backup management, disaster recovery, crisis management. Cette directive concerne désormais des milliers de PME françaises classées entités essentielles ou importantes. Notre guide NIS2 PME 2026 avec checklist détaille les obligations applicables et les seuils.
DORA (Règlement UE 2022/2554), applicable depuis le 17 janvier 2025 pour le secteur financier, impose explicitement à l'Article 12 les politiques de sauvegarde, de restauration et de reprise. Un auditeur DORA qui ne trouve pas de preuve de sauvegarde testée chez votre prestataire Microsoft 365 vous classera non conforme, point.
L'ANSSI et le CERT-FR recommandent la règle 3-2-1-1-0, évolution de la classique 3-2-1, adaptée à l'ère des ransomwares modernes qui ciblent prioritairement les sauvegardes en ligne avant la production. Voici son application concrète à Microsoft 365.
| Chiffre | Signification | Application Microsoft 365 PME |
|---|---|---|
| 3 | 3 copies des données | Production Microsoft 365 + Backup tiers + copie froide hors ligne |
| 2 | 2 supports différents | Cloud SaaS Microsoft + stockage objet indépendant (S3, Azure Blob, OVH Object Storage) |
| 1 | 1 copie hors site | Région cloud différente du tenant Microsoft, idéalement hors USA pour la souveraineté |
| 1 | 1 copie immuable ou air-gap | S3 Object Lock, Azure Immutable Blob, ou bande LTO sortie du réseau |
| 0 | 0 erreur lors des tests de restauration | Tests mensuels partiels + test annuel complet documenté |
La règle 3-2-1-1-0 n'est pas un dogme abstrait. C'est ce que regarde votre auditeur de conformité, votre cyber-assureur (qui réclame de plus en plus de preuves d'immutabilité avant d'indemniser un sinistre) et l'expert judiciaire en cas de contentieux post-incident. Sans immutabilité, votre sauvegarde peut être effacée par le même ransomware qui a frappé votre production.
Voici un comparatif neutre des solutions de sauvegarde Microsoft 365 les plus matures du marché, vues du côté d'une PME française de 10 à 200 postes.
| Solution | Prix indicatif HT/utilisateur/mois | Atouts majeurs | Réserves |
|---|---|---|---|
| Veeam Data Cloud for M365 | Foundation 2,63 $ · Advanced 3,33 $ · Premium 5 à 7 $ | Leader marché (25 M utilisateurs protégés), couverture Entra ID, disaster recovery complet | Tarification en dollars, complexité licensing |
| Acronis Cyber Protect Cloud | ~2,30 à 3,48 $ (packs de 5) | Anti-ransomware IA intégré, console MSP unifiée, backup + cybersécurité | Modèle MSP orienté revendeur |
| Datto SaaS Protection+ | ~2 à 3 $, stockage illimité | Rétention infinie incluse, MSP-friendly, restauration granulaire éprouvée | Coût stockage caché dans la valeur perçue |
| Barracuda Cloud-to-Cloud | ~3 à 5 $, stockage illimité, zéro egress | All-inclusive, anti-malware Defender, prix lisible | Granularité SharePoint moins fine |
| AvePoint Cloud Backup | Sur devis, ~3 à 6 $ | Granularité SharePoint exceptionnelle, gouvernance avancée | Pricing opaque, orienté ETI |
| Microsoft 365 Backup natif | 0,15 $ par Go/mois (PAYG) | Snapshots SharePoint/OneDrive/Exchange, RPO 10 min sur 14 j (Exchange jusqu'à 52 sem) | Reste dans le tenant Microsoft (pas d'air-gap), Teams chat incomplet, non conforme 3-2-1-1-0 seul |
Point critique souvent ignoré : le Microsoft 365 Backup natif, lancé en disponibilité générale le 31 juillet 2024, est utile mais ne suffit pas. Vos sauvegardes restent chez Microsoft, dans la même infrastructure que vos données de production. Si un ransomware compromet votre tenant ou si Microsoft subit une panne majeure, vos sauvegardes natives sont exposées au même risque. Pour respecter la règle ANSSI 3-2-1-1-0, vous devez impérativement disposer d'une copie hors du tenant Microsoft, idéalement chez un hébergeur européen souverain.
Prenons une PME française type : 50 utilisateurs Microsoft 365. Avec Veeam Data Cloud Advanced à 3,33 $/utilisateur/mois, vous payez environ 170 $/mois soit 2 000 $/an, soit autour de 1 850 € HT/an au cours actuel.
Comparons aux pertes évitées :
ROI de la sauvegarde Microsoft 365 : rentabilisée dès une demi-journée d'arrêt évitée par an. Sur une décennie, vous payez environ 18 500 € HT pour assurer un risque dont la matérialisation peut coûter plus de 200 fois la prime annuelle. Aucun assureur n'accepterait un tel ratio pour un risque aussi documenté.
Plutôt que de comparer les éditeurs à l'aveugle, posez-vous ces 8 questions structurantes :
Pour une PME de moins de 50 postes sans équipe IT dédiée, déléguer la sauvegarde à votre prestataire d'infogérance et supervision sécurité reste l'option la plus rentable. Vous bénéficiez d'une supervision continue, de tests de restauration documentés et d'une intervention coordonnée en cas d'incident. Réservez un audit gratuit de votre tenant Microsoft 365.
Microsoft n'a jamais caché que vous deviez sauvegarder vous-mêmes vos données Microsoft 365. Le contrat est clair, le modèle de responsabilité partagée est publié, les fenêtres de récupération natives (14 à 93 jours) sont insuffisantes face aux ransomwares qui ciblent désormais les sauvegardes en ligne. Le cadre réglementaire (RGPD, NIS2, DORA) transforme désormais la sauvegarde en obligation légale opposable.
Pour une PME française de 50 postes, le coût d'une vraie sauvegarde Microsoft 365 conforme à la règle ANSSI 3-2-1-1-0 représente environ 1 850 € HT/an, à comparer à un coût d'incident pouvant atteindre 466 000 €. La sécurité de votre patrimoine numérique ne se négocie plus, elle se documente, se teste et se prouve. Commencez par un audit, choisissez une solution avec immutabilité hors-tenant, testez la restauration trimestriellement, et dormez tranquille. Notre expertise cybersécurité et EDR couvre l'ensemble de la chaîne, ou demandez directement un devis sauvegarde Microsoft 365 gratuit.
Les questions les plus fréquentes posées par les dirigeants et DSI de PME sur la sauvegarde Microsoft 365, avec des réponses sourcées et opérationnelles.
Non, Microsoft ne sauvegarde pas vos données au sens strict. Le Microsoft Services Agreement recommande explicitement aux clients d'utiliser une solution tierce. Microsoft assure l'infrastructure et une fenêtre courte de récupération (14 à 93 jours selon le service), mais la sauvegarde, la restauration point-in-time et la conformité réglementaire restent entièrement à votre charge dans le cadre du modèle de responsabilité partagée.
Exchange Online conserve les éléments supprimés 14 jours dans le dossier dédié, puis 14 jours dans le dossier Recoverable Items (extensible à 30 jours par l'administrateur). Au-delà, l'email est définitivement effacé. Si une boîte mail entière est purgée par un administrateur ou supprimée 30 jours après désactivation de la licence, la récupération devient impossible sans sauvegarde tierce.
L'archivage Microsoft (Purview, In-Place Archive) sert à la conformité légale et à la rétention longue durée des emails et documents, mais ne permet pas une restauration point-in-time ni la reconstruction d'un état métier après ransomware. Une sauvegarde, à l'inverse, capture l'état complet de vos données à une date précise, dans un emplacement indépendant et idéalement immuable, pour permettre une vraie reprise après sinistre.
Indirectement oui. L'article 32(1)(c) du RGPD impose la capacité à rétablir la disponibilité et l'accès aux données personnelles en cas d'incident, ce qui suppose une sauvegarde testée. La CNIL peut sanctionner un manquement aux mesures de sécurité jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial. NIS2 et DORA renforcent cette obligation pour les secteurs concernés depuis 2024 et 2025.
Non, pas seul. Microsoft 365 Backup natif (disponibilité générale juillet 2024) propose des snapshots utiles à 0,15 $ par Go avec une RPO de 10 minutes, mais les sauvegardes restent dans le tenant Microsoft. Cette architecture ne respecte pas la règle ANSSI 3-2-1-1-0 qui exige une copie hors site et immuable. En cas de ransomware ou de compromission admin, ces sauvegardes peuvent être exposées au même risque que la production.
Pour une PME de 10 à 200 postes, Veeam Data Cloud for M365, Acronis Cyber Protect Cloud et Datto SaaS Protection+ sont les solutions matures les plus déployées, avec un coût compris entre 2 et 7 € HT par utilisateur et par mois. Le bon choix dépend de votre volumétrie, de votre besoin en granularité, de la souveraineté souhaitée et de la présence ou non d'une équipe IT interne. Un audit préalable du tenant permet de dimensionner correctement.
Un ransomware moderne chiffre d'abord les postes locaux, puis se propage à OneDrive et SharePoint via le client de synchronisation. Sans sauvegarde tierce immuable, vous perdez l'accès à vos fichiers et vos versions précédentes peuvent être également chiffrées. La corbeille Microsoft de 93 jours ne suffit pas si l'attaque a écrasé plusieurs versions. Notre guide opérationnel 24 heures détaille la marche à suivre pas à pas pour une PME.
Le marché 2026 se situe entre 2 et 7 euros HT par utilisateur et par mois selon la solution, la rétention et la souveraineté souhaitée. Pour une PME de 50 utilisateurs, comptez environ 1 850 € HT par an pour une solution Veeam Advanced ou équivalent, sauvegarde quotidienne incluse. Ce montant est à comparer au coût d'un incident ransomware PME qui peut atteindre 466 000 € selon les cas documentés.
Mots-clés
Audit informatique gratuit, réponse sous 2h ouvrées.
Demander un audit gratuit